Falešné e -maily - Email spoofing
E -mailové spoofing je vytváření e -mailových zpráv s padělanou adresou odesílatele.
Původní přenosové protokoly používané pro e-maily nemají vestavěné metody ověřování: tento nedostatek umožňuje spamovým a phishingovým e-mailům používat podvržení za účelem uvedení v omyl příjemce. Novější protiopatření takové falšování z internetových zdrojů ztěžovaly, ale ne odstranily; jen málo interních sítí má ochranu před falešným e -mailem z kompromitovaného počítače kolegy v této síti.
Technické údaje
Když je odeslán e -mail SMTP (Simple Mail Transfer Protocol) , počáteční připojení poskytuje dvě informace o adrese:
- MAIL FROM: - obvykle se zobrazuje příjemci jako záhlaví Return -path :, ale není obvykle viditelný pro koncového uživatele a ve výchozím nastavení se neprovádí žádná kontrola, zda je odesílající systém oprávněn odesílat jménem této adresy.
- RCPT TO: - určuje, na kterou e -mailovou adresu je e -mail doručen, není obvykle viditelný pro koncového uživatele, ale může být přítomen v záhlaví jako součást záhlaví „Přijato:“.
Společně se jim někdy říká adresování „obálek“ - analogie k tradiční papírové obálce . Pokud přijímající poštovní server nesignalizuje, že má problémy s některou z těchto položek, odesílající systém odešle příkaz „DATA“ a obvykle odešle několik položek záhlaví, včetně:
- Od: Joe Q Doe <joeqdoe@example.com> - adresa viditelná pro příjemce; ve výchozím nastavení se však neprovádí žádná kontrola, zda je odesílající systém oprávněn odesílat jménem této adresy.
- Odpověď: Jane Roe <Jane.Roe@example.mil> - podobně není zaškrtnuto
a někdy:
- Odesílatel: Jin Jo <jin.jo@example.jp> - také není zaškrtnuto
Výsledkem je, že příjemce e -mailu vidí e -mail jako odeslaný z adresy v záhlaví Od:. Mohou být někdy schopni najít MAIL FROM adresy, a v případě, že odpověď na e-mail, že půjde buď na adresu předloženo v Z: a Reply-To: hlavičky, ale žádný z těchto adres jsou obvykle spolehlivé, takže automatizovaný odskočit zprávy mohou generovat zpětný rozptyl .
Přestože je falšování e -mailů účinné při falšování e -mailové adresy, IP adresu počítače odesílajícího poštu lze obecně identifikovat z řádků „Přijato:“ v záhlaví e -mailu. Ve škodlivých případech se však pravděpodobně jedná o počítač nevinné třetí strany nakažený malwarem, který odesílá e -mail bez vědomí vlastníka.
Zlomyseľné používání podvádění
Podvody typu phishing a kompromisy týkající se obchodního e -mailu obecně zahrnují prvek falšování e -mailů.
E -mailové spoofing byl zodpovědný za veřejné incidenty s vážnými obchodními a finančními důsledky. To byl případ e -mailu z října 2013 tiskové agentuře, která byla podvržená, aby vypadala jako od švédské společnosti Fingerprint Cards . V e -mailu bylo uvedeno, že společnost Samsung nabídla koupi společnosti. Zprávy se rozšířily a kurz burzy stoupl o 50%.
Malware, jako je Klez a Sober mezi mnoho dalších moderních příkladů často vyhledávat e-mailové adresy v počítači mají infikované, a oni používají tyto adresy a to jak jako cíle pro e-maily, ale také vytvořit věrohodný kovaný Z polí v e-mailech, které posílají. Tím se zajistí větší pravděpodobnost otevření e -mailů. Například:
- Alice je odeslán infikovaný e -mail, který otevře a spustí červový kód.
- Červový kód prohledá Alicin e -mailový adresář a najde adresy Boba a Charlieho.
- Z Aliceinho počítače červ pošle Bobovi infikovaný e -mail, ale je vytvořen tak, aby vypadal, jako by ho poslal Charlie.
V tomto případě, i když Bobův systém detekuje příchozí poštu jako obsahující malware, vidí zdroj jako Charlie, přestože skutečně pochází z Alicina počítače. Mezitím Alice nemusí zůstat informována o tom, že její počítač byl infikován, a Charlie o tom vůbec nic neví, pokud neobdrží chybové hlášení od Boba.
Jak se falšování e -mailů liší od spamu a phishingu e -mailů?
Hlavní rozdíl mezi nevyžádanou poštou a falešnou zprávou je, že spammeři neupravují záhlaví e -mailů, aby předstírali, že byl e -mail odeslán od někoho jiného. E -maily s phishingem i podvržením mají za cíl oklamat někoho, aby věřil, že zpráva byla odeslána od legitimního odesílatele. Hlavním záměrem phisherů je však kompromitovat osobní a finanční údaje uživatelů, zatímco falšování e -mailů je jen jedním ze způsobů, jak toho používají.
Legální použití
Na počátku internetu byl „legitimně falešný“ e -mail běžný. Hostující uživatel může například použít server SMTP místní organizace k odesílání e -mailů ze zahraniční adresy uživatele. Protože většina serverů byla konfigurována jako „ otevřená relé “, byla to běžná praxe. Jak se nevyžádaná pošta stala otravným problémem, tyto druhy „legitimního“ použití upadly v nemilost. Příkladem legitimního falšování by mohl být scénář, kdy systém pro řízení vztahů se zákazníky obdrží e -mail z webové stránky, a aby bylo možné přihlásit příchozí e -mail a vytvořit profil pro e -mail, který je přidružen k novému kontaktu, systém by byl nakonfigurován použít „odesílatele“ e -mailu k vytvoření profilu potenciálního zákazníka se jménem a e -mailovou adresou odesílatele. Web pro odesílání by byl nakonfigurován tak, aby falšoval odchozí e -maily z webu a odesílal e -maily způsobem, který by způsobil, že přijde od odesílatele s informacemi o odesílateli jako jménem odesílatele a e -mailovou adresou. Systém by jej poté zaznamenal jako nakonfigurovaný.
Pokud spolu více softwarových systémů komunikuje prostřednictvím e -mailu, může být k usnadnění takové komunikace vyžadováno podvržení. V každém scénáři, kde je nastavena e -mailová adresa pro automatické přeposílání příchozích e -mailů do systému, který přijímá pouze e -maily z předávání e -mailů, je k zajištění tohoto chování nutné podvržení. To je běžné mezi systémy prodeje jízdenek, které komunikují s jinými systémy prodeje jízdenek.
Účinek na poštovní servery
Poštovní servery tradičně mohly přijímat poštovní zásilky, poté poslat zprávu o nedoručení nebo zprávu „odskočit“, pokud ji nebylo možné doručit nebo byla z jakéhokoli důvodu umístěna do karantény. Ty budou odeslány na adresu „MAIL FROM:“ neboli „Zpáteční cesta“. S masivním nárůstem padělaných adresách, nejlepší praxe je nyní není generování zpráv NDR pro detekovaný spam, viry atd., Ale odmítnout e-mailu během transakce SMTP. Když správci pošty tento přístup nezachytí, jejich systémy se proviní tím, že rozesílají e -maily „ zpětného rozptylu “ nevinným stranám - což je samo o sobě forma spamu - nebo jsou používány k provádění útoků typu „ Joe Job “.
Protiopatření
Systém SSL/TLS používaný k šifrování e-mailového provozu server-to-server lze také použít k vynucení autentizace, ale v praxi se používá jen zřídka a řada dalších potenciálních řešení také nezískala trakci.
V současné době je však široce používána řada obranných systémů, včetně:
- Sender Policy Framework (SPF) - metoda ověřování e -mailu určená k detekci padělání adres odesilatelů během doručování e -mailu.
- DomainKeys Identified Mail - metoda ověřování e -mailů určená k detekci padělaných adres odesilatelů v e -mailu (spoofing e -mailů), což je technika často používaná při phishingu a e -mailovém spamu .
- DMARC- (Domain-based Message Authentication, Reporting and Conformance), an email authentication protocol. Je navržen tak, aby poskytl vlastníkům e -mailových domén možnost chránit jejich doménu před neoprávněným použitím, běžně známým jako podvržení e -mailu. Smyslem a hlavním výsledkem provádění DMARC je chránit domény byly použity v pracovní e-mailové kompromisních útoky , phishing e-maily, e-mailových podvodů a jiných kybernetické hrozby aktivit.
Aby bylo možné účinně zastavit doručování padělaných e -mailů, musí být odesílající domény, jejich poštovní servery a přijímací systém správně nakonfigurovány pro tyto vyšší standardy ověřování. Přestože se jejich používání zvyšuje, odhady se velmi liší v tom, jaké procento e -mailů nemá žádnou formu ověřování domény: od 8,6% do „téměř poloviny“. Z tohoto důvodu mají přijímací poštovní systémy obvykle řadu nastavení, která konfigurují, jak zacházejí se špatně konfigurovanými doménami nebo e-maily.
Viz také
- Řetězový dopis - dopis napsaný za sebou skupinou lidí
- Počítačový virus - Počítačový program, který upravuje jiné programy tak, aby se replikovaly a šířily
- Počítačový červ - Samostatný počítačový program s malwarem, který se sám replikuje, aby se rozšířil do dalších počítačů
- Falešné doménové jméno
- Ověření e -mailu - techniky zaměřené na poskytování ověřitelných informací o původu e -mailových zpráv
- Hoax - záměrně vymyšlená lež, která byla vydávána za pravdu
- Joe job -spamovací technika, která rozesílá nevyžádané e-maily pomocí falešných údajů o odesílateli
- Žertovný hovor - hovor, jehož cílem je žertovat osobu, která odpoví
- Spoofing webu - Vytvoření webu jako podvodu se záměrem uvést čtenáře v omyl
Reference
externí odkazy
- „Technický tip 2002: Falešný/padělaný e -mail“ . Digitální knihovna SEI . Univerzita Carnegie Mellon. 2002-01-01 . Citováno 2019-12-19 .